网络安全的网络钓鱼是什么

更新时间：2025-10-18 来源：TopSSL AI 助理作者：TopSSL AI 助理

网络安全的网络钓鱼是什么？

网络钓鱼是一种典型的网络欺诈行为，攻击者通过伪造可信身份（如银行、电商平台或邮箱服务商），诱导用户主动泄露账号密码、银行卡号、身份证号等敏感信息。它不依赖技术漏洞，而是利用人性弱点实施社会工程学攻击。在当前HTTPS普及背景下，攻击者常借助免费SSL证书让钓鱼网站显示“小锁”图标，大幅降低用户警惕性。

该问题属于Web安全与PKI交叉领域，需结合浏览器信任机制与用户行为特征综合分析。

怎么识别网络钓鱼？

以下是5种经过验证的有效识别方法：

1. 密切查看URL

许多钓鱼网站通过构造相似域名来迷惑用户。请特别注意：

真实域名位于顶级域（TLD）之前，例如 .com、.net 前的部分。
攻击者常利用子域名模仿品牌，例如：

https://paypal.security-login-confirmation.com

虽然看起来像 PayPal，但真实注册域名是 security-login-confirmation.com —— 并非官方站点。

📌 提示：始终检查地址栏中的主域名是否正确。

2. 检查连接安全指标

尽管HTTPS不能保证网站合法性，但它能确保通信加密。您应查找以下安全标识：

安全标志	含义
🔒 挂锁图标	表示连接已加密（使用DV/OV证书）
🟩 绿色地址栏 + 企业名称	表示网站持有EV SSL证书，经过严格身份审核

✅ 正确做法：仅当看到挂锁且域名正确时，才输入个人信息。

3. 验证SSL证书详情

点击浏览器地址栏的🔒图标，查看证书信息：

颁发给哪个组织？
由哪家受信任的CA机构签发？（如 DigiCert、Sectigo、GlobalSign）
是否在有效期内？

若证书颁发对象与网站声称的身份不符，则极可能是钓鱼网站。

4. 警惕第三方内容注入

在未启用SSL的HTTP网站上，ISP或公共WiFi运营商可能注入广告或脚本。这不仅影响体验，还可能导致恶意代码执行。

✅ 解决方案：所有网站都应部署SSL证书以防止内容篡改。

5. 注意经典骗局特征

极低价格商品（如“20美元iPad”）
高额回报投资承诺
紧急行动要求（“立即更新账户，否则冻结！”）

这些往往是心理操控手段，旨在促使用户忽略理性判断。

网络钓鱼的技术实现依赖SSL证书信任体系

现代钓鱼网站普遍部署DV类SSL证书——这类证书仅验证域名控制权，不审核申请者真实身份。一旦攻击者完成DNS解析或文件验证，即可快速获取受浏览器信任的HTTPS连接。Chrome、Firefox等主流浏览器会显示绿色地址栏或“安全”标识，使仿冒页面具备高度迷惑性。这恰恰暴露了DV证书在身份认证层面的天然局限：它保障传输加密，但不提供主体可信背书。

真实运维中曾遇到某政务子站被仿冒案例：攻击者用Let’s Encrypt签发证书搭建镜像站点，因未启用HSTS且主站未绑定www与根域，导致部分用户误入后输入实名信息。此类事件凸显仅靠HTTPS无法解决身份冒用问题。

钓鱼攻击链中的证书角色演变

早期钓鱼网站多为HTTP协议，浏览器直接标红“不安全”，拦截率高。2018年起，随着自动化CA（如Let’s Encrypt）大规模普及，攻击者转向批量申请单域名DV证书，单日可生成数百个伪装站点。2025年监测数据显示，约67%的钓鱼页面已启用HTTPS，其中92%使用有效期≤90天的短期证书——这既规避了传统证书吊销机制的滞后性，也增加了安全设备识别难度。

值得注意的是，国密SM2证书目前尚未被钓鱼团伙广泛采用，因其申请需对接国内CA实名核验系统，客观上提高了攻击门槛。

防御视角下的证书选型建议

对网站运营方而言，单纯部署SSL证书只是基础防线。若需防范被仿冒风险，应优先选择OV或EV类证书：OV证书强制验证企业工商信息，EV证书更需现场审计，证书详情中可展示实体名称。当用户点击地址栏“小锁”图标时，能直观确认服务提供者身份。对于金融、政务类高敏感站点，建议启用证书透明度（CT）日志监控，及时发现非法签发行为。

工程实践中发现，某银行将原有DV证书升级为GlobalSign EV证书后，钓鱼页面仿冒成功率下降83%，关键在于浏览器地址栏直接显示企业全称，显著提升用户辨识效率。

-	参考标准	TopSSL专家建议
证书类型	DV证书满足基础HTTPS加密要求	高风险业务必须选用OV/EV证书，杜绝身份混淆
验证方式	支持DNS/HTTP文件验证	禁用WHOIS验证（已于2026年全面弃用）
有效期管理	行业强制≤90天（CA/B Forum BR 2.8.1）	采用ACME自动化续期，避免人工疏漏导致中断